현재 뉴스를 보면 다들 아시겠지만, 네이트의 고객 개인정보 유출에 대한 뉴스글을 보실 수 있습니다.
슬슬 네이트도 뭔가 해킹 사전 터지겠구나 했는데, 실제로 터지니 아이러니 하군요.
네이트도 당했으니 이제 네이버, 다음 등도 타겟이 될 수 있습니다.

얼마전에, 저의 어머니의 친구 분 계정을 도용하여 스팸 메일이 온 적이 있습니다.
그곳에는 달랑 링크 한 줄만 있었습니다.
웬만 해서는 누르는 사람이 없겠지만, 많은 주부나 중장년층은 일단 확인해보려 하는게 주된 반응입니다.
그런데 그 사이트는 없는 존재하지 않는 사이트로 표기가 됩니다만, 진짜로 없는 건지 그렇게 화면만 띄우는 건지 우리가 어떻게 알까요?
도메인은 있고 사이트는 없다고 뜬다라.. 뭔가 이상하지요?
개인정보를 송신하는 프로그램이었을 거라 저는 생각합니다.
다행히 저희 어머니는 가입한 사이트가 적어 금방 바꿀 수 있었습니다.
우연의 일치일까 하고 상대방에게 물어보니 "자신은 그런 메일을 보낸 적이 없다" 며, "자신의 주소록에 있던 모든 사람에게 그와 같은 메일이 도착했다고 한다." 라고 진술하였습니다.

이런 소식은 주변 사람들로부터 듣기만 했지 진짜로 보니 우리나라 포털들은 참 대책이 없다고 생각합니다.
현존하는 암호화 기술 중 가장 보안이 뛰어나다고 하자면 MD5 기술이 되겠습니다.
이는, 단방향 암호화 기술로 암호화는 되지만 다시 원문으로 만들 수 없는 기술입니다.
이 기술은 많은 소형, 중형 사이트에서 쓰이고 있으며, 그 안정성은 널리 알려져 있습니다.

만약.
네이트나 옥션 같은 곳에서 이 기술을 적용했다면 이와 같이 일이 커졌을까요?
제가 알기론 대형 사이트들은 저 기술을 사용치 않는 것으로 알고 있습니다.
자체적으로 개발한 암호화 기술이나 안정성이 뛰어나다고 알려진 다른 기술을 도입합니다.
하지만 결국 복호화(원문으로 만드는 과정)가 된다는 점은 변함이 없습니다.
복호화가 된다는 것은 꼭 해킹이 아니더라도 내부 관계자가 얼마든지 가져다가 해석할 수 있다는 것입니다.
포털에서 주민번호를 복호화가 가능케 끔 저장해서 어디에 쓰려는 걸까요?

우리가 아이디, 비밀번호 등을 찾을 때 주민번호를 입력하는 것은 다들 아실 것입니다.
MD5는 같은 값에 대하여 항상 같은 값을 출력하게 되어져 있기 때문에 MD5를 적용해도 문제가 없습니다.
입력한 주민번호를 MD5로 암호화후 DB의 데이터와 비교하면 되니까요.

미리보기 서비스도 그렇습니다.
일부 문만 요약해서 보여주거나 자체적으로 검열하는 것도 아니고 대부분의 원문을 보여준다는 것은 해킹의 표적이 되고도 남는 일이 아니겠습니까?

우리나라의 많은 금융 기관들은 ActiveX를 이용하여 쓰잘때기 없는 보안 프로그램을 잔뜩 심어두었습니다.
덕분에 Internet Explorer가 아니라면 이용 하지도 못합니다.
과연, 이것들이 실제로 그 효용성이 있는 제품이라면 말도 안하겠습니다만.
해외의 많은 금율 기관은 오히려 ActiveX를 사용하지 않습니다.
그러면서도 우리나라보다 보안은 더욱 뛰어납니다.

왜 그러겠습니까?

첫째로, 우리나라는 표준을 지키지 않습니다.
ActiveX 자체가 표준에 어긋나는 것 이라고 봐도 무방합니다.
표준에 어긋난다는 것은 그만큼 구멍이 많다는 것이고 아무리 보안을 한들 그 구멍이 뚫리면 그것은 있으나 마나입니다.

농협 해킹사건도 그렇습니다.
비밀번호도 비밀번호대로 참 어이가 없었습니다만, Super Admin이 농협 전산망 시스템과 연결된 노트북을 개인 용도로 쓴건 아닌지 의심입니다.
솔직히, 엄무용은 엄무용으로만 사용했다면 Sharebox에서 발발한 바이러스에 걸릴 이유가 없지 않을까요?
엄무용이라면 그 사용되는 포트가 지극히 적겠지요.
하나의 기업의 서버를 총괄 관리하는 자라면 자신이 사용하는 포트 정도는 알 수 있습니다.
그러면 내부 통신용, 서버 접속용 포트를 제외한 모든 포트를 차단 했어야 옳지 않겠습니까?
오히려 그 노트북의 시스템은 무엇을 사용하는지 알고 싶습니다.
당연히도 농협이 ActiveX를 사용하니 윈도우 따위를 사용했을 가능성이 높습니다.
정말로 윈도우 였다면.
나는 그 관리자를 향해 체면 불구 하고 갖은 욕설은 물론 만나면 어떤 짓을 할 지 모르겠습니다.
제 마음은 그리 너그럽지 못하기 때문입니다.
현존하는 OS 중 모바일을 제외하면 윈도우가 가장 취약합니다.
그런데 이것을 썼다면 그 관리자는 자격증 전부 반납하고 업계에서 퇴사하셔야합니다.

이만큼 우리나라는 겉으로는 IT 강국이라지만 껍데기를 벗겨 보면 IT 쓰래기 입니다.
이것은 보안과 조금 무관합니다만, 우리가 흔히 Wi-Fi라고 부르는 기술도 사실 우리나라의 기술입니다.
빠르게 이동하면서도 무선인터넷 일정한 속도로 안정적으로 제공을 하는 차세대 기술들도 우리나라가 개발한 것들이 주를 이룹니다.
그런데 정작, 개발국은 사용도 못하는데 타국은 이미 전국에 빼곡히 도입했다는 사실은 아이러니 할 수 없습니다.
4G만해도 그렇습니다.
우리나라는 이번달에 도입을 했지만 해외는 이미 도입이 되었습니다.
4G또한 우리나라 기술인데 말입니다.

IEEE 802.11은 흔히 무선랜, 와이파이(Wi-Fi)라고 부르는 좁은 지역(Local Area)을 위한 컴퓨터 무선 네트워크에 사용되는 기술로,
IEEE의 LAN/MAN 표준 위원회 (IEEE 802)의 11번째 워킹 그룹에서 개발된 표준 기술을 의미한다.

802.11과 와이파이라는 용어가 번갈아 사용되기도 하지만
와이파이 얼라이언스는 "와이파이"라는 용어를 다른 집합의 표준으로 정의하고 있다.
따라서 802.11과 와이파이는 동의어가 아니다.

IEEE 802.11은 현재 주로 쓰이는 유선 LAN 형태인 이더넷의 단점을 보완하기 위해 고안된 기술로,
이더넷 네트워크의 말단에 위치해 필요 없는 배선 작업과 유지관리 비용을 최소화하기 위해 널리 쓰이고 있다.
보통 폐쇄되지 않은 넓은 공간(예를 들어, 하나의 사무실)에 하나의 핫스팟을 설치하며,
외부 WAN과 백본 스위치, 각 사무실 핫스팟 사이를 이더넷 네트워크로 연결하고, 핫스팟부터
각 사무실의 컴퓨터는 무선으로 연결함으로써 사무실 내에 번거로이 케이블을 설치하고 유지보수를 하지 않아도 된다.

IEEE 802.11 네트워크 환경은 인프라(infrastructure) 방식과 애드혹(Ad-Hoc) 방식으로 구성할 수 있다.
핫스팟에 여러 대의 클라이언트가 접속해 네트워크를 구성한다면 인프라망(하부구조 네트워크)이라고 부르고,
각 클라이언트가 핫스팟 없이 서로 데이터를 주고 받는다면 애드혹 네트워크라고 부른다.
보통 인프라망에는 핫스팟이 필요하므로 초기 설치 비용이 많이 들지만, 더 많은 클라이언트를 받아들일 수 있고
더 넓은 접속 반경을 제공해 주기 때문에 자주 쓰인다.

IEEE 802.11 네트워크를 구성하는 장비들은 암호화되지 않은 상태로 통신할 수도 있고 64비트, 128비트의 WEP 암호화를 사용해 보안성을 높일 수도 있다. 하지만 WEP 자체의 구조적 취약점 때문에 WEP로 암호화된 데이터는 쉽게 해독될 수 있어서 현재 잘 쓰이지 않는다. 지금은 발전된 형태의 WPA, IEEE 802.11i(WPA2), IEEE 802.1x 등의 보안책을 사용한다.

802.11 (초기 버전)
802.11은 2Mbps의 최고속도를 지원하는 무선 네트워크 기술로, 적외선 신호나 ISM 대역인 2.4GHz 대역 전파를 사용해 데이터를 주고 받으며 여러 기기가 함께 네트워크에 참여할 수 있도록 CSMA/CA 기술을 사용한다.

하지만 규격이 엄격하게 정해지지 않아서 서로 다른 회사에서 만들어진 802.11 제품 사이에 호환성이 부족했고 속도가 느려서 널리 사용되지 않았다.

802.11b
802.11b는 802.11 규격을 기반으로 더욱 발전시킨 기술로, 최고 전송속도는 11Mbps이나 실제로는 CSMA/CA 기술의 구현 과정에서 6-7Mbps 정도의 효율을 나타내는 것으로 알려져 있다.

표준이 확정되자마자 시장에 다양한 관련 제품이 등장했고, 이전 규격에 비해 현실적인 속도를 지원해 기업이나 가정 등에 유선 네트워크를 대체하기 위한 목적으로 폭넓게 보급되었으며, 공공장소 등에서 유무상 서비스를 제공하는 업체도 생겨났다.

802.11a
세 번째로 등장한 전송방식인 802.11a는 5GHz 대역의 전파를 사용하는 규격으로, OFDM 기술을 사용해 최고 54Mbps까지의 전송 속도를 지원한다.

5GHz 대역은 2.4GHz 대역에 비해 다른 통신기기(무선 전화기, 블루투스 기기 등)와의 간섭이 적고, 더 넓은 전파 대역을 사용할 수 있다는 장점이 있지만, 신호의 특성상 장애물이나 도심 건물 등 주변 환경의 영향을 쉽게 받고, 2.4GHz 대역에서 54Mbps 속도를 지원하는 802.11g 규격이 등장하면서 현재는 널리 쓰이지 않고 있다.

802.11g
네 번째로 등장한 802.11g 규격은 a 규격과 전송 속도가 같지만 2.4GHz 대역 전파를 사용한다는 점만 다르다. 널리 사용되고 있는 802.11b 규격과 쉽게 호환되어 현재 널리 쓰이고 있다.

802.11n
 이 부분의 본문은 IEEE 802.11n-2009입니다.
802.11n은 상용화된 전송규격이다. 2.4GHz 대역과 5GHz 대역을 사용하며 최고 600Mbps 까지의 속도를 지원하고 있다. 처음 Draft 1.0 이 확정되었을 때, 대한민국의 경우 기술규격 내 주파수점유대역폭의 문제(2개의 채널점유)로 최대150Mbps이하로 속도가 제한되었으나 2007년 10월 17일 전파연구소의 기술기준고시로 300Mbps이상까지 사용할 수 있게 되었다. 이 기술의 최종 표준안은 2008년 말 제정될 예정이었으나 2009년 9월 11일에서야 IEEE 802.11n-2009이 표준안으로 제정되었고 대한민국에 현재 상용화되어 있다. 다른 규격보다 승인 규격이 엄격하고 출력 규제가 심하여, 일부 회사에서는 이 규제를 지키지 않고 있다. IEEE 802.11n-2009 표준은 최대 600Mbps까지 대역폭을 넓힐 수 있다.

  WEP은 무선 랜을 통해 전송되는 데이터를 암호화함으로써 유선 네트웍의 물리적인 보안 대책에서 제공되는 것과 비슷한 방호를 제정하는 것을 추구한다. 데이터 암호화는 클라이언트와 AP 사이의 취약한 무선 링크를 보호하며, 일단 이 방법이 취해지면 기밀 보호를 확실히 하기 위해 암호 보호, 전구간 암호화, VPN, 그리고 인증 등과 같은 다른 일반적인 랜 보안 절차들이 시행될 수 있다.

  미국 UC 버클리 대학의 한 연구팀은 최근, 공격에 취약한 프로토콜을 사용하는 방치된 무선 랜, 즉 WEP에서의 "중요한 보안 결함들"을 언급한 보고서를 냈다. 그 팀의 기술시험 과정에서, 그들은 전송 중인 데이터를 가로채고 그 내용을 수정함으로써 기밀 네트웍에 접근할 수 있었다. WECA는 많은 네트워킹 제품에 포함되어 있는 WEP을 무선 랜을 위한 독점적인 보안 절차로 하려는 의도는 절대 아니며, 다만 WEP이 전통적인 보안 관례와 함께 매우 효과적이라고 주장한다.